Vorig jaar schreven we al uitgebreid over de privacyproblemen van de nieuwe Jeugdwet. Nu de wet per 1 januari is ingegaan, blijkt het inderdaad her en der te knellen, zo constateert het CBP. De gemeente kan individuele gevallen in de jeugdzorg zien omdat ze meer gegevens afdwingen dan strikt noodzakelijk.
Maar daar stopt het niet. Nu het eerste kwartaal van dit jaar afgelopen is, meldt het CBS zich bij alle jeugdzorgverleners. Ze moeten namelijk hun kwartaalrapportage indienen. Dat zat er aan te komen. Maar nu het er is, wordt pas duidelijk wat ze willen. In plaats van totalen per maand naar soort opvang en gemeente, willen ze alle individuele gevallen zien. Dus hier met dat BSN en de geboortedatum en de postcode en ….. Gelijk er ook bijzetten dat het kind mishandeld is, of misschien zich terugtrekt uit de zorg.
Natuurlijk zijn er voorzieningen om “netjes” met de gegevens om te gaan. De verzending gaat versleuteld en CBS anonimiseert de gegevens ook nog eens als ze binnenkomen.
Maar het introduceert gelijk veel zwakke punten in de keten. De zorgverleners moeten op (onbeveiligde) computers de registratie doen. En het is onduidelijk hoe sterk de beveiliging is bij het CBS voor de aanlevering van gegevens.
Maar wat vooral ook problematisch is, is dat “anonimiseren” een zeer betrekkelijk begrip is. Zeer waarschijnlijk vertalen ze het BSN (eventueel samen met de geboortedatum) naar een uniek ander nummer dat niet herleidbaar is. Maar voor het kennelijk gedetailleerd volgen van de jeugd worden ook de postcode en de geboortedatum gebruikt. Hoeveel mishandelde kinderen van 4 april 2008 zullen er precies wonen in 1018GK denkt u?
En waartoe dient al deze gedetailleerde verzamelwoede? De minister wil graag de cijfers gebruiken om beleid te maken (daar heb je geen details voor nodig overigens). Maar bovenal wil hij de gemeenten, alle zorgverleners en instellingen nauwkeurig kunnen volgen.
Dus net als in het onderwijs en de reguliere gezondheidszorg zijn straks de jeugdhulpverleners meer tijd kwijt aan de formulieren invullen dan aan daadwerkelijk helpen. En onderweg ligt de privacy van de kinderen die hulp nodig hebben op straat.
Benieuwd hoeveel hulpverleners er nu weer, terecht, zullen afhaken en een ander beroep kiezen.
Oh, en weigeren is geen optie. Dan krijg je als toch al volledig uitgeknepen zorgverlener ook nog eens een boete.
Update (9 april 08:00 uur): Check reacties 4, 8, 17 en 19 voor meer informatie rol CBS voor de nodige nuance.
Hier even de gegevens die het CBS gaat sprokkelen op een rijtje:
Reclassering:
BSN
Geslacht
Geboortedatum
Postcode
Gemeente
Datum aanvang jeugdreclassering
Type jeugdreclassering
Datum eerste contact
Datum overgedragen
Datum overgedragen gekregen
Datum beeindiging jeugdreclassering
Reden beëindiging jeugdreclassering
Inzet erkende interventie bij jeugdreclassering
Jeugdbescherming
BSN
Geslacht
Geboortedatum
Postcode
Gemeente
Datum aanvang kinderbeschermingsmaatregel
Type kinderbeschermingsmaatregel
Datum eerste contact
Datum overgedragen
Datum overgedragen gekregen
Datum beëindiging kinderbeschermingsmaatregel
Reden beëindiging kinderbeschermingsmaatregel
Jeugdhulp
BSN
Geslacht
Geboortedatum
Postcode
Gemeente
Datum aanvang jeugdhulp
Verwijzer
Hulpvorm
Perspectief
Datum einde jeugdhulp
Reden beëindiging jeugdhulp
AMHK (Meldpunt Kindermishandeling en Huishoudelijk geweld)
Advies
Naam
Nummer advies
Aanleiding contact
Hoedanigheid melder
Melding
Naam
Nummer melding
Aanleiding contact
Aard van geweld/mishandeling
Datum melding
Hoedanigheid melder
Vervolg melding
Onderzoeksnummer
Datum start inzetten vervolgtraject
Datum einde bemoeienis AMHK
BSN betrokkene
Geboortedatum betrokkene
Geslacht betrokkene
Onderzoek
Naam
Nummer onderzoek
Aanleiding contact
Datum start onderzoek
Datum afronding onderzoek
Uitkomst van het onderzoek
Aard van geweld/mishandeling
Vervolg nav onderzoek
BSN betrokkene
Geboortedatum betrokkene
Geslacht betrokkene
Reacties (33)
Privacy is dood – todat we het zelf weer komen opeisen. Helaas haalt het overgrote deel van Nederland zijn schouders op en gaat weer verder Facebooken..
Ben wel benieuwd wat de privacywoordvoerders in de Tweede Kamer hiervan denken. Hadden de voorstemmers dit voor ogen toen ze akkoord gingen met de wet? Kunnen zij dit verantwoorden aan de hand van hun verkiezingsprogramma?
Ik ben geen jurist, maar op de school voor nietjuristen heb ik ooit wel leren lezen. Als ik de Wet geneeskundige behandelovereenkomst (WGBO) er op nasla, kom ik de volgende tekst tegen in art 458:
“….en de hulpverlener zorg heeft gedragen dat de gegevens in zodanige vorm worden verstrekt dat herleiding tot individuele natuurlijke personen redelijkerwijs wordt voorkomen….”
Volgens mij betekent dit dat zorgverleners, geen BSN’s kúnnen aanleveren, anonimisering kán alleen maar bij zorgverlener plaatsvinden. Anders is zorgverlener (tucht)rechterlijk aansprakelijk.
…Of had ik beter moeten opletten op school?
“Hoeveel mishandelde kinderen van 4 april 2008 zullen er precies wonen in 1018GK denkt u? ”
Er wordt niet gepubliceerd naar geboortedatum en PC6. Het CBS publiceert nooit op dergelijk detailniveau. En als blijkt dat in een publicatie de celvulling van een bepaalde cel te klein is, wordt deze leeg gemaakt. Onthulling van individuele gevallen is voor ons een doodzonde.
Het is onze taak de samenleving van informatie te voorzien, op meso-niveau. Daarvoor zullen we dit soort gedetailleerde gegevens moeten verzamelen. Koppelen van bestanden via sleutels als de BSN hoort daar bij. Maar dit detailniveau wat binnen komt, gaat niet naar buiten, of wordt gebruikt voor kwaadaardige doeleinde. We zijn geen NSA of AIVD. Deze gegevens zijn voor beleid en (wetenschappelijk) onderzoek. Als je vindt dat een organisatie als het CBS deze gegevens niet mag hebben, kunnen we de tent sluiten. Maar dat kun je Statline ook uit je bookmarks halen. Want dat kunnen we dan niet meer doen.
“om beleid te maken (daar heb je geen details voor nodig overigens).”
Ja, dat hebben we wel. Want je kunt pas aggregeren naar bepaalde klassen als je die details kent. En misschien is er straks wel een AIO of postdoc die juist die details nodig heeft voor zijn/haar onderzoek. Zo’n AIO begeleid ik zelf ook, en die is dolblij met onze gegevens.
Ik merk dat deze post bij mij als CBS’er irritatie oproept. Alsof wij een enge overheidsorganisatie zijn die met de minster onder één hoedje speelt om het rottige zorgbeleid te ondersteunen. Maar wij zijn onafhankelijk. En er niet op uit om zorgverleners helemaal te overladen met formulieren. Of om erachter te komen dat Pietje de Boer uit Arnhem door zijn ouder mishandeld wordt. Individuele gevallen boeien ons niet. Onderzoekers als ikzelf kunnen als de data zijn geanonimiseerd dat soort gegevens ook niet meer achterhalen.
Steeph, als je onze kant van het verhaal wilt horen, wil ik je best in contact brengen met de hiervoor verantwoordelijke collega’s. Omdat in posts als deze de indruk wordt gewekt dat het CBS lak heeft aan privacy. Terwijl de werkelijkheid simpelweg anders is.
@4: Dank voor je uitgebreide reactie. Het was niet mijn intentie het CBS als geheel van laksheid in deze te betichten. Het ging mij er om dat er weer meer schakels in de keten komen waarlangs de gegevens gaan, waar het mis kan gaan.
Uiteraard gebeurt dat niet met opzet binnen het CBS.
Maar “doodzonde” heeft ook elders niemand weerhouden bepaalde dingen te doen.
En toekomstige wijzigingen in het beleid kunnen reeds verzamelde gegevens een andere bestemming geven.
@4:
Beste Jack,
Ik geloof niet in de kwade bedoelingen van het CBS, echter, wat jullie van zorgverleners vragen mógen zij niet geven, waarom kan de anonimisering / pseudonimisering niet “aan de bron”, op kantoor bij de zorgverleners plaatsvinden? Voldoen zij aan voorwaarden beroepsgeheim, CBS krijgt gegevens, iedereen blij.
@Steeph
Dat (kleinere) zorgverleners niet (altijd) hun beveiliging op orde hebben, betekent niet dat zij niet die plicht hebben. KNMG (beroepsvereniging van artsen, dus ook van psychiaters) is daar heel helder over.
@5: Maar als je lijn is dat individuele zorggegevens nooit de zorgverlener mogen verlaten wegens medisch beroepsgeheim of te riskant, dan is de consequentie dat statistieken niet meer gemaakt kunnen worden, en onderzoek niet meer gedaan kan worden. En als ik het goed heb, maakt Sargasso daar ook graag gebruik van, van onze cijfers of onderzoeken die daar op gebaseerd zijn.
Ja, er zit een risico in. Als je dat helemaal wilt uitsluiten, sluit je ook bruikbare resultaten uit. Ik zou me meer zorgen maken over de zorggegevens die naar zorgverzekeraars gaan…
@6: We hebben de CBS-wet en het Besluit Gegevensverwerking, waar in staat dat we een uitzonderingspositie hebben, en deze gegevens wel mogen uitvragen, op straffe van een boete. Overigens zijn er wel degelijk zorguitvragen waar de pseudonimisering inderdaad aan de bron plaatsvindt, en wij nooit een BSN zien. Waarom dat hier niet is gebeurd, weet ik niet. ‘Mijn’ gegevens worden zo wel aangeleverd.
@7: Ha Jack, ik zeg niet dat die gegevens niet de zorgverlener mogen verlaten, ik zeg dat deze gegevens “niet herleidbaar tot individuele natuurlijke personen” de praktijk mogen verlaten. Wanneer het BSN versleuteld wordt bij mij op de praktijk, heb ik hier géén problemen mee(!)
Volgens mij zijn we het eens, psuedonimisering (wat een rotwoord) aan de bron, jij blij, wij blij.
@4,
Is dat niet een van die schijnargumenten die voortdurend gebruikt worden? Ik heb namelijk nog nooit ook maar iemand horen zeggen dat dergelijke dingen wel voor kwaadaardige doeleinden gebruikt worden. Maar feit blijft wel dat CBS-medewerkers toegang hebben tot vertrouwelijke, tot personen herleidbare gegevens zonder dat ze een behandelrelatie met die persoon hebben. ’t Is leuk dat het jou niet interesseert – maar uit diverse onderzoeken blijkt dat er geregeld toch even gegluurd wordt in allerlei systemen, gewoon uit menselijke nieuwsgierigheid. (Meestal naar bekende Nederlanders en familieleden.)
In hoeverre weegt het belang van informatieverschaffing op tegen het belang van de betrokkenen? Welke informatie is werkelijk nodig en voor welk doel?
@10: “maar uit diverse onderzoeken blijkt dat er geregeld toch even gegluurd wordt in allerlei systemen, gewoon uit menselijke nieuwsgierigheid.”
Zoals ik al eerder zei, dat kun je maar op één manier oplossen/voorkomen: het CBS sluiten. Maar dan zul je het moeten doen zonder Statline en op CBS-data gebaseerd onderzoek.
“In hoeverre weegt het belang van informatieverschaffing op tegen het belang van de betrokkenen? Welke informatie is werkelijk nodig en voor welk doel?”
Voordat we een statistiek maken, is vaak nog niet duidelijk welke informatie precies nodig is. Of welke informatie onderzoekers van buiten mogelijk nog willen gebruiken. En het wordt pas echt een last als we na een tijdje bij gegevensverstrekkers terug moeten komen en zeggen ‘oh hee, die en die variabelen hebben we ook nog nodig’. Dan is de reactie ‘had je dat niet bij de eerste keer kunnen vragen?’.
@7: Wordt op gelijk niveau ook gegevens verzameld van patiënten van ziekenhuizen en apotheken?
Volgens mij niet.
Het gaat me meer om het besluit zelf dan of het CBS er al dan niet goed mee omgaat.
Overigens ben ik zeer geïnteresseerd in data voor de statistieken. Maar niet op individueel niveau en ook niet op klein regionaal niveau trouwens. Dat mag de branche zelf bestuderen.
(Net als Nictiz en zo.)
@11
Dat lijkt me een vrij makkelijke: “nee, want in verband met de privacy vragen we geen informatie als we die nog niet nodig hebben.”
@Steeph: ¨Wordt op gelijk niveau ook gegevens verzameld van patiënten van ziekenhuizen en apotheken?
Volgens mij niet.¨
Dan moet ik je teleurstellen.
¨Maar niet op individueel niveau en ook niet op klein regionaal niveau trouwens.¨
Statistieken worden gemaakt op basis van individueen. In de publicaties worden ze geaggregeerd, en als totalen in cellen gezet. En gedetailleerder dan gemeenteniveau gaan we niet.
@15: Ah… okay. Maar die gegevens dan toch wel met anonimiseren van BSN aan de bron???? Of helemaal zonder…
@Steeph: Ja, die gegevens gaan bij de zorginstelling door een pseudonimisatie-module, die de BSN volgens een algoritme verhaspeld. Uiteindelijk zie ik zelfs dat pseudoniem niet meer, alleen ons eigen interne unieke persoonsnummer.
Het klinkt als ´Wij van WC-eend…´, maar we gaan zeer zorgvuldig met dit soort gegevens om. Want als het lekt, of medewerkers onzorgvuldig/onrechtmatig met de data om gaan, kan het CBS de deuren wel sluiten. Geen enkele instantie wil dan nog privacy-gevoelige data aan ons leveren. Het is gewoon ook in ons eigen belang om de privacy te waarborgen, en ik denk dat dat aspect makkelijk vergeten wordt.
@17: Dat gezegd hebbende is het dus wel opvallend dat hier een afwijkend protocol wordt gehanteerd….
En over de overige aspecten moet ik even wat langer nadenken.
@Steeph: Ik vermoed dat dat wat te maken heeft met tijdsdruk. De veranderingen in de zorg zijn, laten we zeggen, redelijk rap ingevoerd. Om dan bij alle gemeenten extra software te installeren voor deze gegevenslevering was dan waarschijnlijk geen haalbare kaart meer, naast alle andere zaken die geregeld moesten worden. Maar het is speculatie.
Overigens, even als disclaimer, alle hierboven door mij geleverde commentaren en teksten zijn op persoonlijke titel, en vertegenwoordigen niet de mening of de standpunten van het CBS. :)
Dus eigenlijk, kort samengevat Jack: privacy is leuk enzo, maar niet als het ons niet uitkomt, en vertrouw ons maar op onze mooie blauwe ogen als enige garantie.
@21: Nee, want wij garanderen die privacy met onze naam. Als de data die we ontvangen lekt of misbruikt wordt, is onze naam en reputatie naar de knoppen. En wil niemand ons nog wat leveren.
Tenzij je van mening bent dat een overheidsinstantie deze gegevens nooit mag hebben, want medisch-vertrouwelijk. Dan is er verder weinig om over te discuseren.
Dus die talloze onderzoeken dat medewerkers van overheidsinstanties stiekem neuzen in de gegevens van bekenden zonder noodzaak voor hun werk, zijn nergens op gebaseerd?
@21: dat vind ik eerlijk gezegd een beetje een domme reactie. Als het gaat om bestaande gegevens (en niet om een nieuwe uitvraag van gegevens) dan doet het CBS dat best redelijk, en eerlijk gezegd vind ik dat het CBS dan eigenlijk nog veel te weinig doet. D’r wordt door de overheid zoveel data verzameld; veel meer dan strikt noodzakelijk is voor het uitvoeren van de oorspronkelijke taak (belasting heffen, een uitkering aanvragen, etc). Dat allemaal zodat de overheid bestanden kan koppelen om te kijken of een aanvraag of toekenning wel ‘rechtvaardig’ is.
En da’s een beetje het patroon wat je wel vaker ziet: voor fraudebestrijding, ‘antiterrorisme’ of het tegengaan van kinderporno gaan zo’n beetje alle remmen los. Het gevolg? Een steeds groter groeiend leger van niet al te hoog opgeleide ordehandhavers (en dus niet voorzien van een stevig moreel en ethisch denkkkader) kan grasduinen in zo’n beetje alle onversleutelde bestanden waar de hele overheid over beschikt. Resultaat? ze gaan hun vrouw checken, of die zeikerige marktplaatskoper waar ze eens mee te maken hebben.
In plaats van dat je die rechten alleen aan een stel MBO’ers gunt, zorg er dan voor dat alle nederlanders op een veilige manier kunnen zien welke data er over hun wordt verzameld. zoals hier gebeurd, bijvoorbeeld. Dat soort figuren of onderzoek zou veel breder moeten worden uitgemeten. Laat maar echt zien hoe zit met ongelijkheid, zorggebruik en andere data die nederlanders genereren. Tenslotte is het data van alle nederlanders, niet de data van Opstelten of hoe heet die klojo die z’n opvolger is. We have the right to know.
En je kan je kop dan wel in het zand steken door ‘sgande’ te roepen, maar die veiligheidsfetisjisten blijven gewoon doorgaan. Dan wil ik goddomme op z’n minst zien hoe de rest van nederland er uit ziet, qua data.
@24: kort gezegd is jouw reactie niet meer dan: wij doen het omdat hullie het ook doen. En onze ogen zijn nog blauwer, dus meer te vertrouwen.
@25: nee domme lul, ‘als het dan toch moet gebeuren, laat dan tenminste zien wat er allemaal verzameld wordt’.
Maar he, als je liever lekker wilt zwelgen in je ‘o sgande, er worden privacygevoelige data en DAT MAG NIET’-verzameld, ga vooral lekker door. Mensen zoals jij gebruiken natuurlijk geen google, gmail of, facebook, hebben javascript standaard uit staan, gebruiken geen bonuskaart, hebben geen mobiele telefoon, hebben geen baan, vragen nooit een uitkering aan, hebben geen pinpas, etc, etc. Kortom: je hebt geen leven. Weet je wie d’r ook geen leven had? De Unabomber. En de luddieten, als ik ff door mag ranten.
Je kan wel hard je kop in je zand steken en doen alsof het de jaren 70 zijn, maar daar komen ze niet mee terug. Fucking deal with it. En niet door te roepen ‘dat het een sgande is’. Want dat geloof ik nou wel, en het werkt niet. Want de Opsteltens rammen d’r steeds meer maatregelen door. Wat heb jij ondertussen bereikt?
@25: Ik krijg de indruk dat je alle overheidsdiensten en dataverzamelingswoede van politici op één hoop gooit. En dus CBS=overheid=slecht/onbetrouwbaar/kwaadaardig/privacy-verneukend. En dat CBS-medewerkers altijd vrolijk naar hun buurman op zoek gaan.
Dan kan ik je verder niet helpen, en is alles wat ik zeg redelijk zinloos. Want je wereldbeeld staat al vast.
@19: Beste Jack,
Mocht het zo zijn dat het CBS vanwege tijdsdruk ervoor gekozen heeft om de anonimisering van gegevens van patiënten in de Jeugd-GGZ achterwege te laten, dan is dat ontluisterend (en dat is een understatement). Waar bij de uitvraag van medische gegevens bij andere zorgverleners de privacy van patiënten én de het beroepsgeheim waar medici aan gebonden zijn wél wordt gewaarborgd, kiest het CBS in dit geval ervoor om, op straffe van een boete, zorgverleners te dwingen om hun beroepsgeheim te doorbreken en zo een ándere wet (de WGBO) te breken, met alle nare, tuchtrechterlijke gevolgen voor een zorgverlener. Dat kan écht niet.
Wat is dit toch snel ontspoord. Steeph heeft natuurlijk 100% gelijk. Je hoeft geen kwade opzet bij het CBS te zien om te weten dat dit niet veilig is. Hoe goed Jack en zijn collega’s ook om willen gaan met die data, als meer en meer data in omloop raken, kun je erop wachten voor dat een keer lekt.
Eén van de problemen die ik hierin zie, is de onvrijwilligheid van gegevens aanleveren aan het CBS. Jack zegt dat ze het CBS wel kunnen opdoeken als het misgaat, maar als je boetes kunt opleggen voor niet-meewerken is dat natuurlijk niet waar. Het wordt er alleen wat grimmiger op, maar het dataharken gaat door. Dat dataharken is kwalijk, ook als het met de beste bedoelingen en zorg gebeurt.
Waarmee ik op het andere probleem kom: Jack verdedigt deze praktijk met het belang voor de samenleving om statistiek te kunnen bedrijven op deze data. De afweging die hij maakt, is echter zeer eenzijdig. De schade voor individuen kan (en zal, als je lang genoeg doorgaat!) enorm zijn als er een lek optreedt. Dat neemt hij nauwelijks mee. “Waar gehakt wordt, vallen spaanders” is wel erg kort door de bocht.
Tenslotte werkt deze gedachtengang de eerder genoemde function creep in de hand: als je maar een zwaarwegend belang kunt vinden voor de data, is het geoorloofd die te verzamelen. De data is er al en dan willen allerlei instanties die graag hebben; de vraag alleen is hoe ze dat kunnen rechtpraten. Dat is natuurlijk de dood in de pot voor onze privacy.
We moeten dat debat voeren dat Jack al meteen probeert onderuit te halen: hoe wegen de risico’s op tegen de voordelen? Hij zet hoog in met “zonder deze gegevens kunnen we het CBS wel opdoeken” maar dat geloof ik niet. Afgezien daarvan, ook al loopt het zo’n vaart niet, zeg ik toch: dan sneuvelt het CBS maar. Noodzaak voor het CBS is geen troefkaart. Waar ligt de grens? Dit zijn uiterst gevoelige gegevens.
@27
Dat is niet zo vreemd, toch? Misschien niet leuk voor de mensen bij het CBS die het allemaal netjes doen en zo goed bedoelen, maar het punt is helemaal niet kwade opzet: het punt is dat verspreiding van data op zichzelf een risico vormt.
Security-expert Bruce Schneier zegt het zo:
https://www.schneier.com/blog/archives/2009/02/privacy_in_the.html
Gegeven de voorgaande discussie en de zeer waardevolle, maar indirecte/anonieme, input van kenners van het CBS, is het misschien leuk als het CBS met een gastbijdrage reageert.
Mochten ze meelezen: mail naar [email protected].
Geen idee namelijk of het zinvol is om die vraag gewoon bij “communicatie” naar binnen te gooien.
Lijkt me wel cool. Dat “oude” en “saaie” CBS dat ineens op een weblog de interactie aangaat….
Ik kan me wel voorstellen dat echte informatie van echte personen behoorlijk waardevol is voor het CBS. Allerlei verbanden waar je anders gericht informatie voor moet verzamelen kun je hiermee automatisch tevoorschijn toveren.
Maar wat ik niet begrijp is waarom dat niet gewoon anoniem kan. Geboortemaand. Enkel de cijfers van de postcode. Geen BSN, regel gewoon een cryptografische oplossing waarmee je data over hetzelfde individu uit verschillende bronnen wel aan elkaar kunt knopen maar niet kunt herleiden tot het individu. Hoe moeilijk kan het zijn om dit gewoon goed en veilig te doen en over die data te kunnen beschikking zonder privacy te schenden?!
Een beetje zinloos om te discussiëren over een probleem dat met relatief eenvoudige technische middelen prima valt op te lossen.
Kamervragen!
https://zoek.officielebekendmakingen.nl/kv-tk-2015Z06754.html